本说明书涉及通信,尤其涉及一种跨设备的访问控制方法及装置。
背景技术:
1、随着网络技术的发展,用户对于网络安全和管理的要求也逐渐提升,用户对不同网络区域之间相互访问进行精细化控制的需求也逐渐增加。在网络分区的场景下,每一个区域中设置有bras(宽带远程接入服务器,broadband remote access server)对本区域的用户设备进行管理。
2、在多个网络区域中,同一个用户会被配置有不同的ip(互联网协议,internetprotocol)地址。在部署qos(服务质量,quality of service)策略时,需要在不同的网络区域中创建基于ip地址的acl(访问控制列表,access control list)规则实现,需要创建的acl数量与需要进行控制的源ip地址以及目的ip地址的相关。在需要进行控制的源ip地址和目的ip地址不断增加的情况下,acl数量会呈现爆炸式的增长,增加了bras中的资源占用,降低了网络设备的资源利用率。
技术实现思路
1、为克服相关技术中存在的问题,本说明书提供了一种跨设备的访问控制方法及装置。
2、根据本说明书实施例的第一方面,提供了一种跨设备的访问控制方法,包括:
3、与对端宽带远程接入服务器bras建立边界网关协议bgp连接;
4、若确定主机发送的认证请求通过认证,则获取与该认证请求中的用户信息所关联的用户组信息以及为通过认证的主机分配互联网协议ip地址;
5、生成与分配的ip地址相对应的用户网络路由unr,基于用户组信息生效部署的服务质量qos策略;
6、向对端bras发送携带有unr和用户组信息的第一bgp路由报文,以使对端bras记录unr和用户组信息,并基于用户组信息生效自身部署的qos策略,其中,用户组信息携带在第一bgp路由报文的扩展团体属性中。
7、可选的,该方法,还包括:
8、接收对端bras所发送的、接入对端bras的主机的unr第二bgp路由报文,其中,第二bgp路由报文的扩展团体属性中携带有用户组信息。
9、可选的,bgp包含内部边界网关协议ibgp和/或外部边界网关协议ebgp。
10、可选的,qos策略中包含源用户组信息和目的用户组信息。
11、根据本说明书实施例的第二方面,提供了一种跨设备的访问控制装置,包括:
12、连接单元,用于与对端bras建立bgp连接;
13、认证单元,用于若确定主机发送的认证请求通过认证,则获取与该认证请求中的用户信息所关联的用户组信息以及为通过认证的主机分配ip地址;
14、生效单元,用于生成与分配的ip地址相对应的unr,基于用户组信息生效部署的qos策略;
15、路由单元,用于向对端bras发送携带有unr和用户组信息的第一bgp路由报文,以使对端bras记录unr和用户组信息,并基于用户组信息生效自身部署的qos策略,其中,用户组信息携带在第一bgp路由报文的扩展团体属性中。
16、可选的,该装置,还包括:
17、接收单元,用于接收对端bras所发送的、接入对端bras的主机的unr的第二bgp路由报文,其中,第二bgp路由报文的扩展团体属性中携带有用户组信息。
18、可选的,bgp包含ibgp和/或ebgp。
19、可选的,qos策略中包含源用户组信息和目的用户组信息。
20、根据本说明书实施例的第三方面,提供了一种网络设备,包括收发器、处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使:实现上述任一项的方法步骤。
21、根据本说明书实施例的第四方面,提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,机器可执行指令促使处理器:实现上述任一项的方法步骤。
22、本说明书的实施例提供的技术方案可以包括以下有益效果:
23、本说明书实施例中,在主机通过认证后,获取下发的用户组信息,通过bras之间所建立的bgp连接向对端通告主机的unr和用户组信息,通过用户组信息生效在bras中所部署的qos策略,从而避免通过ip地址生效qos策略时,需要通过大量的acl进行流量分类,降低了bras中的资源占用,提升了网络设备的资源利用率。
24、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
1.一种跨设备的访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,还包括:
3.根据权利要求1所述的方法,其特征在于,所述bgp包含内部边界网关协议ibgp和/或外部边界网关协议ebgp。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述qos策略中包含源用户组信息和目的用户组信息。
5.一种跨设备的访问控制装置,其特征在于,包括:
6.根据权利要求5所述的装置,其特征在于,还包括:
7.根据权利要求5所述的装置,其特征在于,所述bgp包含ibgp和/或ebgp。
8.根据权利要求5-7任一项所述的装置,其特征在于,所述qos策略中包含源用户组信息和目的用户组信息。
9.一种网络设备,其特征在于,包括收发器、处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一项所述的方法步骤。
10.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-4任一项所述的方法步骤。